English

◀◁ 뒤로 취약점ID 22147 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Apache 웹서버는 WebDAV를 통한 디렉토리 리스팅 취약점을 가지고 있다. WebDAV (Web Distributed Authoring and Versioning)는 사용자들이 HTTP 프로토콜을 이용하여 문서들을 생성, 편집, 공유할 수 있게 해 주는 HTTP의 부가기능(extension) 이다. 특별한 REQUEST METHOD인 PROPFIND는 사용자들이 디스플레이 명, 마지막 수정된 날짜 등과 같은 자원에 관한 정보를 검색해 볼 수 있게 해 준다. SuSE 6.4에 디폴트로 설치된 Apache 웹서버는 서버의 전체 파일 구조를 대상으로 하는 WebDAV를 가지고 있다. Apache 웹서버로 특별하게 만들어진 요청을 보냄으로써 디렉토리 리스팅 정보를 얻어낼 수 있다. * 참고 사이트: http://online.securityfocus.com/bid/1656 http://www.iss.net/security_center/static/5204.php * 영향을 미치는 플랫폼: Apache HTTP 서버 모든 버전 SuSE Linux 모든 버전 해결책 WebDAV 모듈을 작동중지 시켜야 한다. 작동중지 시키기 위해서는: 1. WebDAV로 오픈해 놓고자 하는 각각의 디렉토리에 대해 httpd.conf에 있는 다음 엔트리들을 추가하여야 한다: <Directory /webdav/directory/goes/here> #add other directives as needed such as Order allow,deny <IfDefine DAV> DAV On </IfDefine> </Directory> Apache를 중지하고 재시작한다. 2. WebDAV를 완전히 작동중지 시키기 위해서는 httpd.conf에서 다음 엔트리들을 우선 찾는다: <IfDefine DAV> DAV On </IfDefine> 그리고 "On"을 "Off"로 바꾼다. 디폴트로는 "/usr/local/httpd/htdocs" 만이 IfDefine DAV 지시자를 가진 유일한 디렉토리이다. 또한 이 지시자를 가진 다른 디렉토리들이 있다면 마찬가지로 바꾸어야 한다. Apache를 중지하고 재시작한다. 3. WebDAV 모듈없이 Apache를 재시작시키기 위해서는 /etc/rc.d/rc3.d/S20apache 파일을 편집하여 다음 라인을 주석처리("#") 해야 한다: test -e /usr/lib/apache/libdav.so && MODULES="-D DAV $MODULES" 다음번 Apache 시작 시에 이 모듈은 포함되지 않을 것이다. -- 또는 -- SuSE Linux의 경우: 다음 SuSE 보안관련 공지를 참조하여 Apache의 최신 버전으로 업그레이드 하여야 한다: http://online.securityfocus.com/advisories/2609 관련 URL CVE-2000-0869 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)